Единый вход (SSO) — это система, которая позволяет пользователям входить в систему, используя только один набор учетных данных для входа (например, имя пользователя и пароль), тем самым надежно аутентифицируя несколько приложений. При использовании единого входа приложение или веб-сайт, к которым пользователь пытается получить доступ, полагаются на доверенную третью сторону для аутентификации пользователя. Примером может служить набор онлайн-приложений Google, которые вы используете каждый день.
Почему единый вход важен?
Единый вход может помочь компаниям повысить производительность и сэкономить время и деньги.
Со стороны пользователя SSO экономит время и усилия, поскольку пользователям не нужно повторно входить в несколько приложений. Это обеспечивает упрощенный (упрощенный) пользовательский интерфейс, уменьшая количество проблем с доступом к учетной записи, с которыми сталкивается программное обеспечение при работе с множеством различных паролей и учетных записей пользователей.
Единый вход также удобен для администраторов. Централизованная система единого входа упрощает мониторинг учетных записей пользователей в различных приложениях. Это уменьшает количество проблем с доступом, таких как неправильные или забытые пароли, экономя время администраторов и сотрудников технической поддержки. Кроме того, поскольку для регистрации требуется только один пароль, количество поддерживаемых паролей также сокращается.
Как работает сертификация без SSO?
Без единого входа каждый веб-сайт поддерживает свою собственную базу данных пользователей и их учетных данных. Вот что происходит, когда вы пытаетесь войти в приложение или на веб-сайт:
Сначала сайт проверяет, аутентифицированы ли вы. Если есть, он даст вам доступ к сайту.
Если вы еще этого не сделали, он попросит вас войти в систему и сверить ваше имя пользователя и пароль с информацией в базе данных пользователей.
После входа в систему, когда вы просматриваете веб-сайт, веб-сайт передает данные проверки подлинности, чтобы подтвердить, что вы аутентифицированы каждый раз, когда вы переходите на новую страницу.Данные аутентификации обычно передаются в файле cookie с данными сеанса или в виде токена, не отслеживают сеанс и быстрее обрабатываются.
Как работает система единого входа?
Аутентификация с SSO основана на доверительных отношениях между доменами (веб-сайтами). При едином входе при попытке войти в приложение или на веб-сайт:
Пользователь получает доступ к целевому домену. Веб-сайт сначала проверяет, аутентифицированы ли вы в домене SSO, и если да, он позволяет вам получить доступ к веб-сайту.
Если вы еще этого не сделали, он перенаправит вас на домен SSO для входа.
Вы вводите логин/пароль для корпоративного доступа.
Инструмент SSO запрашивает аутентификацию у поставщика удостоверений или системы аутентификации, используемой компанией, создавая зашифрованный токен.
Сервер SSO передает данные аутентификации на веб-сайт и возвращает вас на сайт.
Зашифрованный токен служит удостоверением авторизации.
Веб-сайты передают данные аутентификации, когда вы просматриваете их, подтверждая вашу аутентификацию каждый раз, когда вы переходите на новую страницу.
Аутентификация на основе токенов — еще одна важная концепция входа в систему (вздесьчтобы узнать больше информации). Системы единого входа в основном полагаются на эти токены, чтобы «запомнить», что пользователю был предоставлен доступ ко всем приложениям, связанным с этим центральным единым входом.
Безопасна ли аутентификация SSO?
Краткий ответ - да. Системы SSO очень безопасны при правильной реализации и использовании с другими современными инструментами кибербезопасности.
подробный ответ. Система аутентификации SSO может улучшить общую безопасность Интернета по двум основным причинам:
Сокращает количество слабых паролей, которые люди создают и используют в Интернете.
Создана более централизованная система, которой администраторы могут легче управлять и защищать.
Однако существуют также некоторые риски, связанные с централизацией нескольких процессов в одной системе. Если хакеры проникнут в центральную систему или украдут пароли пользователей, они смогут получить доступ ко всем приложениям и инструментам, подключенным к системе SSO.
К счастью, добавить дополнительные инструменты безопасности в систему входа SSO несложно.
Система единого входа и OAuth
С точки зрения непрофессионала, SSO имеет дело с проблемой входа в систему между различными системами приложений в компании.Например, у Alibaba есть много систем приложений.Нам нужно только войти в одну систему, чтобы осуществить переход между различными системами.
OAuth — это схема авторизации и протокол авторизации, которым следуют разные компании, обычно предоставляемые крупными компаниями, такими как Tencent и Weibo. Обычно мы используем логин QQ, логин Weibo и т. д. Преимущество использования OAuth заключается в том, что для входа в систему можно использовать другие сторонние учетные записи, что снижает риск потери пользователя из-за лени и нежелания пользователей регистрироваться.
Теперь некоторые платежные сервисы также используют OAuth, например платеж WeChat и платеж Alipay. Есть также некоторые открытые платформы, которые также используют OAuth, такие как Baidu Open Platform и Tencent Open Platform.
Процесс единого входа CAS выглядит следующим образом: